// 服务端设置：

// 域A的服务端响应头
app.get('/data', (req, res) => {
    res.header('Access-Control-Allow-Origin', 'https://domain-b.com');
    res.header('Access-Control-Allow-Credentials', 'true');
    res.json({ data: '敏感数据' });
});

// 前端设置：

// 域B的AJAX请求
fetch('https://domain-a.com/data', {
  credentials: 'include' // 必须设置以携带Cookie
});

// 要求：

//     服务端必须指定具体的 Access-Control-Allow-Origin（不能为 *）

//     必须设置 withCredentials 或 credentials: 'include'